風險管理

ISO27001「資訊安全管理系統（Information Security Management System，ISMS）」國際標準認證導入

• 預計今年完成ISO27001導入，藉由系統化的資訊安全管理框架，識別了解公司的安全風險並確認各項控制措施，確保整體資訊安全性。
• 藉由導入ISO27001，期望提高整體資訊管理效率，減少資安事件發生率及降低潛在損失。

• 關鍵服務應用伺服器及網路設備均設置於專用機房，24小時皆有門禁管控。
• 機房皆設有消防設備及UPS等安全保護措施，隨時監控機房電力、溫濕度、粉塵等，確保資訊設備安全。

• 強制要求定期更改密碼，符合密碼複雜度，並限制密碼重複使用次數及輸入錯誤鎖定策略。
• 定期審查帳戶和撤銷不再需要的帳號或權限。
• 定期更新應用程式的安全性和修補程式，修復已知的漏洞。

• 已設置端點自動監控回報機制，可即時分析異常及處理。
• 已設置端點軟體自動攔截和回應新型威脅功能，有效對抗無檔案式惡意程式、腳本攻擊及瀏覽器攻擊。
• 建置SIEM (Security Information and Event Management)及 Analyzer系統。

• 資料存放區均已設定權限管控，只有經授權人員能夠存取。
• 已建立完整的備份備援機制，內部重要資料皆有完整備份與增量備份。
• 定期更新資訊安全宣導專區，讓員工了解如何保護數據並提升安全意識。

• 前端已配置網路防禦系統，可即時發現並攔阻攻擊，防堵最新型病毒，並可經由威脅情資雲，自動識別進階威脅，提前阻止駭客侵入。
• 建構SOC監控服務 (Security Operatio.n Center), SIEM (Security Information and Event Management) 自動收集、分析及統計網路及設備使用狀況和安全訊息，發現自動回應及網路聯防。
• 新型防火牆安全防護，可檢測並阻止惡意攻擊。

• 113.12.24 已取得ISO/IEC 27001：2022「企業資源規劃系統與資訊機房之維運與管理」之認證，證書有效日期至2027.12.23。
• 本年度共舉辦3次ISO27001國際資安認證內部稽核訓練，共計27人次，合計54人時。
• 本年度於113.09.21辦理全集團系統災難復原演練。
• 本年度共辦理42次資訊安全教育訓練(線上教育訓練)，共計64人次，合計96人時。
• 每年2次不定期進行社交工程演練。
• Fortinet 資安鐵三角架構已完成上線：

    1. 113年5月已完成台北總部以及各分點鐵三角上線作業。

    2. 113年10月已完成各站點備援線路測試。

• 軟體版權管控已完成上線：

    1. 控制企業內部軟體資產使用情況。

    2. 確保合規，避免未授權軟體導致法律責任和罰款支出。

• 系統安全性更新：已完成
• OA資料庫主機安全性更新及升級：已完成
• 端點防務軟體更新：已完成